I服务管理信息安全管理PPT课件
合集下载
IT培训资料 PPT课件
ITIL架构各功能模块简介
❖ IT服务管理实施规划 (Planning to Implement Service Management) ——为客户如何确立远景目标,如何分析现状、确定 合理目标并进行差距分析和如何实施活动的优先级,以及 如何对实施的流程进行评审,提供了全面指导。
ITIL架构各功能模块简介
高质量的服务 • 有效控制IT部门的开支,降低IT运营成本,减少运营风险 • 从总体上提高企业IT投资的回报,给企业带来巨大的经济
价值,提升企业的综合竞争力
导入ITIL的收益
❖ 大量的成功实践表明实施IT服务管理可以将企业IT部门的 运营效率提高25-300%
❖ 加特纳(Gartner)和国际数据集团(IDC)等世界权威研 究机构的调查研究也表明,通过在IT部门实施最佳服务管 理实践,可以将因重复呼叫、不当的变更等引起的延误时 间减少79%,每年可以为每个终端用户平均节约800美元的 成本,同时将每项新服务推出的时间缩短一半
的方法,以有效的监控这些变动,降低或消除因为变动所 造成的问题。它的目的并不是控制和限制变更的发生,而 是对业务中断进行有效管理,确保变更有序进行。
服务支持(Service Support)
❖ 发布管理 (Release Management) 发布管理是指对经测试后导入实际应用的新增或修改
后的配置项进行分发和宣传的管理流程,目的是要保障所 有的软件组件的安全性,以确保只有经过完整测试的正确 版本得到授权进入正式运行环境。
服务支持(Service Support)
如何规范企业it服务管理已成为决定企业能否在激烈的竞争中领先的重要课题在企业内部一方面管理层对it部门提出了可度量it投资回报的要求而业务部门则对it服务质量和可用性提出了更高的要求导入itil的收益规范it部门的服务水平规范工作流程降低由人事变动导致的风险提高it服务的可用性可靠性和安全性为业务用户提供高质量的服务从总体上提高企业it投资的回报给企业带来巨大的经济价值提升企业的综合竞争力导入itil的收益大量的成功实践表明实施it服务管理可以将企业it部门的运营效率提高25300加特纳gartner和国际数据集团idc等世界权威研究机构的调查研究也表明通过在it部门实施最佳服务管理实践可以将因重复呼叫不当的变更等引起的延误时间减少79每年可以为每个终端用户平均节约800美元的成本同时将每项新服务推出的时间缩短一半宝洁公司proctergamble于1997年起采用itil模式后4年内共节约预算资金达5亿美元使运营成本削减8技术人员减少20itil的特点公共框架最佳实践事实上的国际标准基于流程管理的思想质量管理方法和标准已经形成了一个完整的产业itil的整体架构itil架构各功能模块简介it服务管理实施规划planningimplementservicemanagement为客户如何确立远景目标如何分析现状确定合理目标并进行差距分析和如何实施活动的优先级以及如何对实施的流程进行评审提供了全面指导
信息安全管理实践ppt课件
2021/6/2
什么是信息安全
信息本身的机密性(Confidentiality)、完整性(Integrity) 和可用性(Availability)的保持,即防止防止未经授权使用信 息、防止对信息的非法修改和破坏、确保及时可靠地使用信息。
保密性:确保信息没有非授权的泄漏,不 被非授权的个人、组织和计算机程序使用
• 当攻击成本小于攻击可能的获利时,运用保护措施,通过 提高攻击者成本来降低攻击者的攻击动机,如加强访问控 制,限制系统用户的访问对象和行为,降低攻击获利;
• 当风险预期损失较大时,优化系统设计、加强容错容灾以 及运用非技术类保护措施来限制攻击的范围,从而将风险 降低到可接受范围。
2021/6/2
具体的风险控制措施
• 风险转移是指通过使用其它措施来补偿损失 ,从而转移风险,如购买保险等。
2021/6/2
安全风险系统判断过程
2021/6/2
风险控制具体做法
• 当存在系统脆弱性时,减少或修补系统脆弱性,降低脆弱 性被攻击利用的可能性;
• 当系统脆弱性可利用时,运用层次化保护、结构化设计以 及管理控制等手段,防止脆弱性被利用或降低被利用后的 危害程度;
2021/6/2
风险评估
风险评估主要包括风险分析和风险评价
➢风险分析:全面地识别风险来源及类型;
➢风险评价:依据风险标准估算风险水平,确定风险的 严重性。
➢与信息安全风险有关的因素:
➢资产:是指对组织具有价值的信息资源,是安全策略保护 的对象。
➢威胁:主要指可能导致资产或组织受到损害的安全事件的 潜在因素。
关键活动
输入 资源
·信息输入
标准 ·立法
测量
记录 ·摘要
输出
什么是信息安全
信息本身的机密性(Confidentiality)、完整性(Integrity) 和可用性(Availability)的保持,即防止防止未经授权使用信 息、防止对信息的非法修改和破坏、确保及时可靠地使用信息。
保密性:确保信息没有非授权的泄漏,不 被非授权的个人、组织和计算机程序使用
• 当攻击成本小于攻击可能的获利时,运用保护措施,通过 提高攻击者成本来降低攻击者的攻击动机,如加强访问控 制,限制系统用户的访问对象和行为,降低攻击获利;
• 当风险预期损失较大时,优化系统设计、加强容错容灾以 及运用非技术类保护措施来限制攻击的范围,从而将风险 降低到可接受范围。
2021/6/2
具体的风险控制措施
• 风险转移是指通过使用其它措施来补偿损失 ,从而转移风险,如购买保险等。
2021/6/2
安全风险系统判断过程
2021/6/2
风险控制具体做法
• 当存在系统脆弱性时,减少或修补系统脆弱性,降低脆弱 性被攻击利用的可能性;
• 当系统脆弱性可利用时,运用层次化保护、结构化设计以 及管理控制等手段,防止脆弱性被利用或降低被利用后的 危害程度;
2021/6/2
风险评估
风险评估主要包括风险分析和风险评价
➢风险分析:全面地识别风险来源及类型;
➢风险评价:依据风险标准估算风险水平,确定风险的 严重性。
➢与信息安全风险有关的因素:
➢资产:是指对组织具有价值的信息资源,是安全策略保护 的对象。
➢威胁:主要指可能导致资产或组织受到损害的安全事件的 潜在因素。
关键活动
输入 资源
·信息输入
标准 ·立法
测量
记录 ·摘要
输出
IT服务管理信息安全管理ppt课件
CobiT 特性
基于控制 (controls-based)
度量驱动 (measurement-driven)
14
发展历史
研究、建立、宣传并不断提升一个权威的、最新的、国际公认的IT治理控制框架,使之为企业广泛接受,并成为业务经理、IT专业 人员和风险控制人员的行为指南。
从1992年起,世界整体环境变化
19
规划与组织 PO 1 制定IT战略规划 PO 2 确定信息体系架构 PO 3 确定技术方向 PO 4 确定IT流程、组织及相互关系 PO 5 管理IT投资 PO 6 管理目标与方向的协调 PO 7 人力资源管理 PO 8 质量管理 PO 9 IT风险评估与风险管理 PO 10 项目管理
4
IT治理的主要特点
健全的组织架构(健全的组织架构是正确决策的保障) 清晰的职责边界(清晰的职责边界是确保各治理主体独立运作、有效制
衡的基础)
明确的决策规则和程序(如果说职责边界是明确由谁做出决策,决策规 则和程序就是明确怎么做出决策。 )
有效的激励和监督机制(当激励与约束机制不能和组织的目标相联系时 ,IT治理是非常低效的)
问
确保IT服务可以对 抗攻击并从攻击中
恢复
维护企业的声誉及 领袖地位
•ISO20000体系实施(3天)
ISO27001体系实施(3天) 计算机信息系统(高级)项目经理 (5天)
信息化投资回报高级研讨班(2天)
IT风险管理实施方法与案例研讨(2天)
10
实施方法
COBIT – 信息及相关技术控制目标 IT治理协会 () 信息系统审计与控制协会 ()
IT 服务管理(ITSM)
技术提供者
服务提供者
IT的作用是提高效率 IT预算是由外部基准驱动的 IT与业务分离 IT是一项成本中心,应该加以控制 IT管理者是技术专家
信息安全服务管理
信息安全服务管理挑战
内部员工疏忽
技术漏洞
员工信息安全意识不强, 容易造成数据泄露
系统漏洞存在安全隐 患,需要及时修复
外部黑客攻击
网络安全漏洞被黑客利 用,企业面临数据被盗 风险
信息安全服务管理解决方案
内部培训
加强员工信息安全知识 培训,提升员工安全意 识
网络监控
加强网络监控,及时 发现并应对安全风险
高级安全技术
引入先进的安全技术, 提高系统安全性
信息安全服务管 理解决方案
企业可以通过加强内部培训、引入高级安全技 术、加强网络监控等方式来解决信息安全服务 管理中的各种问题。这些解决方案有助于提升 企业的信息安全水平,保障业务正常运营。
信息安全服务管理未来发展方向
数据安全
加密技术应用 数据备份与恢复 安全存储管理
安全控制实施 实施各项安全控制措施
安全事件响应
响应并处理安全事件和 漏洞
信息安全服务管 理流程优化
企业应定期评估信息安全服务管理流程,不断 优化提升,以适应不断变化的信息安全威胁。 优化包括流程简化、技术升级、人员培训等方 面。
信息安全服务管理流程优化
流程简化
简化繁琐的流程,提高 工作效率
人员培训
对信息安全风险进行 评估和管理
组织结构
确定信息安全管理组织 结构与职责
安全控制
采取各种控制措施保护 信息资产安全
信息安全服务管理框架优势
规范管理
建立统一的信息安全管 理标准 明确工作流程和责任分 工
提高效率
减少信息安全事件发生 频率 加强信息安全技术应用
降低风险
有效预防数据泄露和黑 客攻击 保障系统和数据的完整 性和可用性
加强员工信息安全意 识培养
信息安全意识培训课件(PPT 65张)
4
信息安全无处不在
法律 合规 业务 连续 安全
信息安全
人员 安全
开发 安全
网络 安全 访问 控制
物理 安全
5
信息安全的定义
广义上讲
领域—— 涉及到信息的保密性,完整性,可用性,真 实性,可控性的相关技术和理论。
本质上
1. 保护—— 系统的硬件,软件,数据 2. 防止—— 系统和数据遭受破坏,更改,泄露 3. 保证—— 系统连续可靠正常地运行,服务不中断
9
泄密事件 1 2 3 4 5 “棱镜门”事件
信息安全事件
英国离岸金融业200多万份 邮件等文件泄密 支付宝转账信息被谷歌抓 取 如家等快捷酒店开房记录 泄露 中国人寿80万份保单信息 泄密
点评 网友总结的2013年十大信息安全事件 斯诺登充分暴露NSA的信息窃密手段,对世界信息安全 及信息化格局产生深远影响。 范围涉及170个国家13万富豪,是具有重大影响的金融 安全事件。 作为国内使用最广泛的支付平台,影响面大,是互联网 金融安全的典型案例。 涉及个人深度隐私,影响部分人家庭团结和社会稳定。 保单信息包含详尽的个人隐私信息,对个人声誉及生活 影响大。
6
7
搜狗手机输入法漏洞导致 大量用户信息泄露
Adobe 300万账户隐私信息 泄露
移动应用漏洞利用导致泄密情况值得警惕,微信漏洞泄 密个人关系图谱也证明该问题。
云计算方式会将软件单个漏洞影响扩大化。
8
9
雅虎日本再遭入侵 2200万 用户信息被窃取
圆通百万客户信息遭泄露
二次泄密,国际巨头对用户隐私也持漠视态度。
快递行业信息泄密愈演愈烈。 泄露用户行程,不少用户反映受诈骗和影响行程安排, 影响出行安全。
东航等航空公司疑泄露乘 10 客信息
信息安全无处不在
法律 合规 业务 连续 安全
信息安全
人员 安全
开发 安全
网络 安全 访问 控制
物理 安全
5
信息安全的定义
广义上讲
领域—— 涉及到信息的保密性,完整性,可用性,真 实性,可控性的相关技术和理论。
本质上
1. 保护—— 系统的硬件,软件,数据 2. 防止—— 系统和数据遭受破坏,更改,泄露 3. 保证—— 系统连续可靠正常地运行,服务不中断
9
泄密事件 1 2 3 4 5 “棱镜门”事件
信息安全事件
英国离岸金融业200多万份 邮件等文件泄密 支付宝转账信息被谷歌抓 取 如家等快捷酒店开房记录 泄露 中国人寿80万份保单信息 泄密
点评 网友总结的2013年十大信息安全事件 斯诺登充分暴露NSA的信息窃密手段,对世界信息安全 及信息化格局产生深远影响。 范围涉及170个国家13万富豪,是具有重大影响的金融 安全事件。 作为国内使用最广泛的支付平台,影响面大,是互联网 金融安全的典型案例。 涉及个人深度隐私,影响部分人家庭团结和社会稳定。 保单信息包含详尽的个人隐私信息,对个人声誉及生活 影响大。
6
7
搜狗手机输入法漏洞导致 大量用户信息泄露
Adobe 300万账户隐私信息 泄露
移动应用漏洞利用导致泄密情况值得警惕,微信漏洞泄 密个人关系图谱也证明该问题。
云计算方式会将软件单个漏洞影响扩大化。
8
9
雅虎日本再遭入侵 2200万 用户信息被窃取
圆通百万客户信息遭泄露
二次泄密,国际巨头对用户隐私也持漠视态度。
快递行业信息泄密愈演愈烈。 泄露用户行程,不少用户反映受诈骗和影响行程安排, 影响出行安全。
东航等航空公司疑泄露乘 10 客信息
信息安全管理培训课件(59页)
– 技术与工程标准主要指由标准化组织制定的用于规范信息安全产品、 技术和工程的标准,如信息产品通用评测准则(ISO 15408)、安全 系统工程能力成熟度模型(SSE-CMM)、美国信息安全白皮书(TCSEC )等。
– 信息安全管理与控制标准是指由标准化组织制定的用于指导和管理信 息安全解决方案实施过程的标准规范,如信息安全管理体系标准( BS-7799)、信息安全管理标准(ISO 13335)以及信息和相关技术控 制目标(COBIT)等。
• 风险评估(Risk Assessment)是指对信息资产所面临的 威胁、存在的弱点、可能导致的安全事件以及三者综合作 用所带来的风险进行评估。
• 作为风险管理的基础,风险评估是组织确定信息安全需求 的一个重要手段。
• 风险评估管理就是指在信息安全管理体系的各环节中,合 理地利用风险评估技术对信息系统及资产进行安全性分析 及风险管理,为规划设计完善信息安全解决方案提供基础 资料,属于信息安全管理体系的规划环节。
类别 技术类
措施
身份认证技术 加密技术 防火墙技术 入侵检测技术 系统审计 蜜罐、蜜网技术
属性
预防性 预防性 预防性 检查性 检查性 纠正性
运营类 管理类
物理访问控制,如重要设备使用授权等; 预防性 容灾、容侵,如系统备份、数据备份等; 预防性 物理安全检测技术,防盗技术、防火技 检查性 术等;
责任分配 权限管理 安全培训 人员控制 定期安全审计
– 这种评估途径集中体现了风险管理的思想,全面系统地 评估资产风险,在充分了解信息安全具体情况下,力争 将风险降低到可接受的水平。
– 详细评估的优点在于组织可以通过详细的风险评估对信 息安全风险有较全面的认识,能够准确确定目前的安全 水平和安全需求。
– 信息安全管理与控制标准是指由标准化组织制定的用于指导和管理信 息安全解决方案实施过程的标准规范,如信息安全管理体系标准( BS-7799)、信息安全管理标准(ISO 13335)以及信息和相关技术控 制目标(COBIT)等。
• 风险评估(Risk Assessment)是指对信息资产所面临的 威胁、存在的弱点、可能导致的安全事件以及三者综合作 用所带来的风险进行评估。
• 作为风险管理的基础,风险评估是组织确定信息安全需求 的一个重要手段。
• 风险评估管理就是指在信息安全管理体系的各环节中,合 理地利用风险评估技术对信息系统及资产进行安全性分析 及风险管理,为规划设计完善信息安全解决方案提供基础 资料,属于信息安全管理体系的规划环节。
类别 技术类
措施
身份认证技术 加密技术 防火墙技术 入侵检测技术 系统审计 蜜罐、蜜网技术
属性
预防性 预防性 预防性 检查性 检查性 纠正性
运营类 管理类
物理访问控制,如重要设备使用授权等; 预防性 容灾、容侵,如系统备份、数据备份等; 预防性 物理安全检测技术,防盗技术、防火技 检查性 术等;
责任分配 权限管理 安全培训 人员控制 定期安全审计
– 这种评估途径集中体现了风险管理的思想,全面系统地 评估资产风险,在充分了解信息安全具体情况下,力争 将风险降低到可接受的水平。
– 详细评估的优点在于组织可以通过详细的风险评估对信 息安全风险有较全面的认识,能够准确确定目前的安全 水平和安全需求。
信息安全基础知识概述(PPT 39张)
可视化、 易操作、易管理 平台
高性能架构,面 对应用层威胁 应用识别与精细 控制
多模块联动, 一体化引擎 云、大数据分 析外部联动
第9章 信息安全基础知识9章 信息安全基础 知识
37
本章总结
计算机技术与网络技术的迅猛发展,信 息社会,大大提高了工作、学习效率, 丰富了我们的生活。
计算机安全问题成为亟待解决的问题。
计算机安全对于国家安全、经济发展、 社会稳定和人们的日常生活有着极为重 要的意义。
当代大学生要学习和掌握一定的信息安 全与管理知识,这样才能够在互联网上 有效的防止侵害,保卫自己的信息安全。
第9章 信息安全基础知识9章 信息安全基础 知识 38
本章结束,谢谢!
使用设备测量用户的生物特征并和用户档案进行对比。。
视网膜扫描 声纹识别 面部识别
使用光学设备发出的低强度光源扫描视网 膜上独特的图案,视网膜扫描是十分精确的。
是根据说话人的发音生理和行为特征,识别说 话人身份的一种生物识别方法。 计算机系统利用摄像机获取识别对象的面部图 像后与数据库图像进行比对,完成识别过程。
第9章 信息安全基础知识9章 信息安全基础 知识 32
1.防火墙的基本准则
一切未被允许的就是 禁止的 一切未被禁止的就是 允许的
第9章 信息安全基础知识9章 信息安全基础 知识
33
2.防火墙的基本功能
第9章 信息安全基础知识9章 信息安全基础 知识
34
3.防火墙的关键技术
代理服务 技术 状态监控技 术 包过滤技术
危害
正常的程序无法运行,计算机内的
第9章 信息安全基础知识9章 信息安全基础 文件被删除或受损。计算机引导扇区 知识 20
信息安全管理体系介绍PPT课件
系统资源
用户
非用户 级访问
外部资源
用户认
合法
证模块
用户
安 全 检 查 / 加 解 密
外部资源 访问控制
规则集
用户级服 务资源 内部 资源 访问 控制 非用户级 服务资源
系统资源 控制文件
用户资源 控制文件
信息安全技术
• 技术体系 – 信息安全防护 – 信息安全检测 – 信息安全响应 – 信息安全恢复 – 信息安全审计
应用层安全分析
• 网上浏览应用安全 • 电子邮件应用安全 • WWW应用的安全 • FTP应用的安全 • Telnet的安全性 • 网络管理协议(SNMP) • 应用层的身份识别
管理层安全分析
• 内部人员信息泄漏风险; • 机房没有任何限制,任何人都可以进出; • 内部工作人员因误操作而带来安全风险; • 内部员工在未经允许在内部网上做攻击测试; • 建立各种网络安全规范。
校园网服务器群
语音教室网段 教学网段5
数字图书馆网段
内部办公 网段1
内部办公N 财务网段
人事商务网段 多媒体教室网段 OA网段
领导网段
网管网段
教学网段4 教学网段3
教学网段2
采取的解决办法四
对于系统统一管理、信息分析、事件分析 响应
-----在网络中配置管理系统 -----在网络中配置信息审计系统 -----在网络中配置日志审计系统 -----在网络中补丁分发系统 -----在网络中配置安全管理中心
对于内部信息泄露、非法外联、内部攻击 类
-----在各网络中安装IDS系统 -----在系统中安装安全隐患扫描系统 -----在系统中安装事件分析响应系统 -----在主机中安装资源管理系统 -----在主机中安装防火墙系统 -----在重要主机中安装内容过滤系统 -----在重要主机中安装VPN系统
信息安全意识培训课件(PPT 65张)
两个层面
技术层面—— 防止外部用户的非法入侵 管理层面—— 内部员工的教育和管理
5
信息安全基本目标 保密性, 完整性, 可用性
C onfidentiality
I ntegrity
CIA
A vailability
6
怎样搞好信息安全?
一个软件公司的老总,等他所有的员工下班之 后,他在那里想:我的企业到底值多少钱呢?假 如它的企业市值1亿,那么此时此刻,他的企业就 值2600万。
在WiFi技术的发展过程中,除了传输速率不断提升之外,安全加 密技术的不断增强也是其技术标准频繁更新的重要原因。而最早进 入WiFi标准的加密技术名为WEP(Wired Equivalent Privacy,有线等 效保密),但由于该技术的加密功能过于脆弱,很快就被2003年和 2004年推出的WPA(WiFi Protected Access,WiFi网络安全存取)和 WPA2技术所取代。
38
脆弱的口令……
u 少于8个字符 u 单一的字符类型,例如只用小写字母,或只用数字 u 用户名与口令相同 u 最常被人使用的弱口令:
u 自己、家人、朋友、亲戚、宠物的名字 u 生日、结婚纪念日、电话号码等个人信息 u 工作中用到的专业术语,职业特征 u 字典中包含的单词,或者只在单词后加简单的后缀
重 要 信 息 的 保 密
14
信息保密级别划分
Secret机密、绝密
Confidencial 秘密
Internal Use内 部公开
Public公 开
15
信息处理与保护
u 各类信息,无论电子还是纸质,在标注、授权、访问、 存储、拷贝、传真、内部和外部分发(包括第三方转 交)、传输、处理等各个环节,都应该遵守既定策略 u 信息分类管理程序只约定要求和原则,具体控制和实现 方式,由信息属主或相关部门确定,以遵守最佳实践和 法律法规为参照 u 凡违反程序规定的行为,酌情予以纪律处分
技术层面—— 防止外部用户的非法入侵 管理层面—— 内部员工的教育和管理
5
信息安全基本目标 保密性, 完整性, 可用性
C onfidentiality
I ntegrity
CIA
A vailability
6
怎样搞好信息安全?
一个软件公司的老总,等他所有的员工下班之 后,他在那里想:我的企业到底值多少钱呢?假 如它的企业市值1亿,那么此时此刻,他的企业就 值2600万。
在WiFi技术的发展过程中,除了传输速率不断提升之外,安全加 密技术的不断增强也是其技术标准频繁更新的重要原因。而最早进 入WiFi标准的加密技术名为WEP(Wired Equivalent Privacy,有线等 效保密),但由于该技术的加密功能过于脆弱,很快就被2003年和 2004年推出的WPA(WiFi Protected Access,WiFi网络安全存取)和 WPA2技术所取代。
38
脆弱的口令……
u 少于8个字符 u 单一的字符类型,例如只用小写字母,或只用数字 u 用户名与口令相同 u 最常被人使用的弱口令:
u 自己、家人、朋友、亲戚、宠物的名字 u 生日、结婚纪念日、电话号码等个人信息 u 工作中用到的专业术语,职业特征 u 字典中包含的单词,或者只在单词后加简单的后缀
重 要 信 息 的 保 密
14
信息保密级别划分
Secret机密、绝密
Confidencial 秘密
Internal Use内 部公开
Public公 开
15
信息处理与保护
u 各类信息,无论电子还是纸质,在标注、授权、访问、 存储、拷贝、传真、内部和外部分发(包括第三方转 交)、传输、处理等各个环节,都应该遵守既定策略 u 信息分类管理程序只约定要求和原则,具体控制和实现 方式,由信息属主或相关部门确定,以遵守最佳实践和 法律法规为参照 u 凡违反程序规定的行为,酌情予以纪律处分
ISMS手册-信息安全管理IT服务管理体系手册
信息安全管理IT服务管理体系手册发布令本公司按照ISO20000:2005《信息技术服务管理—规范》和ISO27001:2005《信息安全管理体系要求》以及本公司业务特点编制《信息安全管理&IT服务管理体系手册》,建立与本公司业务相一致的信息安全与IT服务管理体系,现予以颁布实施。
本手册是公司法规性文件,用于贯彻公司信息安全管理方针和目标,贯彻IT服务管理理念方针和服务目标。
为实现信息安全管理与IT服务管理,开展持续改进服务质量,不断提高客户满意度活动,加强信息安全建设的纲领性文件和行动准则。
是全体员工必须遵守的原则性规范。
体现公司对社会的承诺,通过有效的PDCA活动向顾客提供满足要求的信息安全管理和IT服务。
本手册符合有关信息安全法律法规要求以及ISO20000:2005《信息技术服务管理—规范》、ISO27001:2005《信息安全管理体系要求》和公司实际情况。
为能更好的贯彻公司管理层在信息安全与IT服务管理方面的策略和方针,根据ISO20000:2005《信息技术服务管理—规范》和ISO27001:2005《信息安全管理体系要求》的要求任命XXXXX 为管理者代表,作为本公司组织和实施“信息安全管理与IT服务管理体系”的负责人。
直接向公司管理层报告。
全体员工必须严格按照《信息安全管理&IT服务管理体系手册》要求,自觉遵守本手册各项要求,努力实现公司的信息安全与IT服务的方针和目标。
管理者代表职责:a) 建立服务管理计划;b) 向组织传达满足服务管理目标和持续改进的重要性;e) 确定并提供策划、实施、监视、评审和改进服务交付和管理所需的资源,如招聘合适的人员,管理人员的更新;1.确保按照ISO207001:2005标准的要求,进行资产识别和风险评估,全面建立、实施和保持信息安全管理体系;按照ISO/IEC 20000 《信息技术服务管理-规范》的要求,组织相关资源,建立、实施和保持IT服务管理体系,不断改进IT服务管理体系,确保其有效性、适宜性和符合性。
IT服务管理体系实践之信息安全管理
升 的管 理 过 程 。 对 一 个 组 织 而言 .需 要 利 用 I 服 务 来 支 持 业 务 的 T
清 晰 的流 程 目标 以及 流 程 内的任 务 、 限 和 职责 ; 权 与 用 户 的 沟 通 和 内 部 支 持 团 队 的 沟 通 培 训 :测 度 和 监 控 S A 和改 进 服务 的成 本 计划 是 保 证 服 务级 别 管 理 流 程 成 L
安 全 稳 定 运行 。
为 了保 证 对 用 户提 供 的服 务 和用 户 自身 信息 系 统 安
以风 险 评 估 为 基 础 选 择 控 制 目标 与 控 制方 式 等 , 进
量 。 务级 别 管 理 不 仅可 以使 服 务 内容 清 晰 , 务水 平 测 服 服
量 , 实 现 了服 务 资 源和 成 本 合 理配 置 , 务 质量 循 环 提 还 服
一
文 献 标 识 码 : B
文章 编 号 :6 3 8 5 (0 11 — 0 3 O 1 7 — 4 42 1 )7 0 6 一 3
、
引言
全 管 理 的一 致性 , 在对 信 息 系 统 的 规 划设 计 、 发 建 设 、 开 运 行 维 护 和 变更 废 弃 进 行安 全 性 考 虑 时 ,应 充分 遵 循 以 下安全原则。 ( ) 面统 筹 原 则 : 息 安 全保 障工 作 贯 穿 于信 息 化 1全 信
全过程 , 坚持统筹规划 、 突出重点 。 全与发展并进 , 安 管理
与技 术 并 重 , 急 防 御 与长 效 机 制相 结 合 ; 应 () 范 化 原 则 : 循 国 内 、 际 的信 息 安 全 标 准 及 2规 遵 国 行业规范 , 对信 息 系 统 实行 等 级 保 护 ;
() 3 责任 制 原 则 : 用 户 的 计算 机 信 息 系 统安 全 保 护 对
清 晰 的流 程 目标 以及 流 程 内的任 务 、 限 和 职责 ; 权 与 用 户 的 沟 通 和 内 部 支 持 团 队 的 沟 通 培 训 :测 度 和 监 控 S A 和改 进 服务 的成 本 计划 是 保 证 服 务级 别 管 理 流 程 成 L
安 全 稳 定 运行 。
为 了保 证 对 用 户提 供 的服 务 和用 户 自身 信息 系 统 安
以风 险 评 估 为 基 础 选 择 控 制 目标 与 控 制方 式 等 , 进
量 。 务级 别 管 理 不 仅可 以使 服 务 内容 清 晰 , 务水 平 测 服 服
量 , 实 现 了服 务 资 源和 成 本 合 理配 置 , 务 质量 循 环 提 还 服
一
文 献 标 识 码 : B
文章 编 号 :6 3 8 5 (0 11 — 0 3 O 1 7 — 4 42 1 )7 0 6 一 3
、
引言
全 管 理 的一 致性 , 在对 信 息 系 统 的 规 划设 计 、 发 建 设 、 开 运 行 维 护 和 变更 废 弃 进 行安 全 性 考 虑 时 ,应 充分 遵 循 以 下安全原则。 ( ) 面统 筹 原 则 : 息 安 全保 障工 作 贯 穿 于信 息 化 1全 信
全过程 , 坚持统筹规划 、 突出重点 。 全与发展并进 , 安 管理
与技 术 并 重 , 急 防 御 与长 效 机 制相 结 合 ; 应 () 范 化 原 则 : 循 国 内 、 际 的信 息 安 全 标 准 及 2规 遵 国 行业规范 , 对信 息 系 统 实行 等 级 保 护 ;
() 3 责任 制 原 则 : 用 户 的 计算 机 信 息 系 统安 全 保 护 对
ITIL_基础培训ppt
用户
规划及控制
质量控制
服务需求规划 服务级别管理 培训策略
成本管理 可用性管理 应急计划 容量管理
资产管理 预算管理
第三方 管理 合同管理
开发
IT 技术架构 应用开发及获取
版本发布 生产环境 测试
外包商管理
运维管理
事件管理 服务台 (reactive) 监控(proactive)
问题管理
变更管理
生产环境的管理
恢复标准
投入资源与 解决目标
流程考核指标
影响程度分级
影响或潜在影 响系统服务
1.顶级
2.高级
3.中级
4.低级
举例说明
考核项目 总体满意度 呼叫次数 提交呼叫数 解决呼叫数 呼叫解决率 呼叫解决时间
说明
指标分级 备注
23
事件管理的好处
- 减小突发事件对业务的影响 - 最优化资源进行事件支持,合理分工 - 服务分轻重缓急,保障系统有效运行 - 加强管理层的有形监控和及时反馈 - 及时有效的沟通,提升用户满意度 - 建立知识库,进行知识积累 - 提供管理信息和决策支持依据
350
300
250
200
150
118
100
50
0 Apr
连续性
295
335 分析后
结果
59
May
Jun
July
32
问题管理的好处
找出事件发生的根本原因
主动分析事件发生趋势 找出根治的解决方案 减少事件的重复发生
预先防止事件和问题的发生 提高资源使用效率
提高事件管理的一线解决率
33
问题管理的 关键成功因素
• 专注于处理出现在IT基础架构中或由用户 报告的事件来尽快恢复服务的可用性.
规划及控制
质量控制
服务需求规划 服务级别管理 培训策略
成本管理 可用性管理 应急计划 容量管理
资产管理 预算管理
第三方 管理 合同管理
开发
IT 技术架构 应用开发及获取
版本发布 生产环境 测试
外包商管理
运维管理
事件管理 服务台 (reactive) 监控(proactive)
问题管理
变更管理
生产环境的管理
恢复标准
投入资源与 解决目标
流程考核指标
影响程度分级
影响或潜在影 响系统服务
1.顶级
2.高级
3.中级
4.低级
举例说明
考核项目 总体满意度 呼叫次数 提交呼叫数 解决呼叫数 呼叫解决率 呼叫解决时间
说明
指标分级 备注
23
事件管理的好处
- 减小突发事件对业务的影响 - 最优化资源进行事件支持,合理分工 - 服务分轻重缓急,保障系统有效运行 - 加强管理层的有形监控和及时反馈 - 及时有效的沟通,提升用户满意度 - 建立知识库,进行知识积累 - 提供管理信息和决策支持依据
350
300
250
200
150
118
100
50
0 Apr
连续性
295
335 分析后
结果
59
May
Jun
July
32
问题管理的好处
找出事件发生的根本原因
主动分析事件发生趋势 找出根治的解决方案 减少事件的重复发生
预先防止事件和问题的发生 提高资源使用效率
提高事件管理的一线解决率
33
问题管理的 关键成功因素
• 专注于处理出现在IT基础架构中或由用户 报告的事件来尽快恢复服务的可用性.
信息安全意识ppt演示课件(74页)
7
前因后果是这样的 ……
Absa是南非最大的一家银行,占有35%的市场份额, 其Internet银行业务拥有40多万客户。 2003年6、7月间,一个30岁男子,盯上了Absa的在 线客户,向这些客户发送携带有间谍软件(spyware) 的邮件,并成功获得众多客户的账号信息,从而通过 Internet进行非法转帐,先后致使10个Absa的在线客户 损失达数万法郎。 该男子后来被南非警方逮捕。
Mar 20, 2001 前因后果是这样的 ……
从前台分机到主机经过数重密码认证
该软件可记录包括电子邮件、网上聊天、即使消息、Web访问、键盘操作等活动,并将记录信息悄悄发到指定邮箱
那么,究竟是怎么回事呢?
❖ 寻求帮助
5
第1部分
惨痛的教训!
严峻的现实!
6
一起国外的金融计算机犯罪案例
在线银行——一颗定时炸弹。 最近,南非的Absa银行遇到了 麻烦,它的互联网银行服务发生一 系列安全事件,导致其客户成百万 美元的损失。Absa银行声称自己 的系统是绝对安全的,而把责任归 结为客户所犯的安全错误上。 Absa银行的这种处理方式遭致广 泛批评。那么,究竟是怎么回事呢?
9
我们来总结一下教训
Absa声称不是自己的责任,而是客户的问题 安全专家和权威评论员则认为:Absa应负必要责任, 其电子银行的安全性值得怀疑 Deloitte安全专家Rogan Dawes认为:Absa应向其客 户灌输更多安全意识,并在易用性和安全性方面达成平 衡 IT技术专家则认为:电子银行应采用更强健的双因素认 证机制(口令或PIN+智能卡),而不是简单的口令 我们认为:Absa银行和客户都有责任
3
制作说明
本培训材料由IDC信息安全管理体系实施组织安 全执行委员会编写,并经安全管理委员会批准, 供IDC内部学习使用,旨在贯彻IDC信息安全策略 和各项管理制度,全面提升员工信息安全意识。
前因后果是这样的 ……
Absa是南非最大的一家银行,占有35%的市场份额, 其Internet银行业务拥有40多万客户。 2003年6、7月间,一个30岁男子,盯上了Absa的在 线客户,向这些客户发送携带有间谍软件(spyware) 的邮件,并成功获得众多客户的账号信息,从而通过 Internet进行非法转帐,先后致使10个Absa的在线客户 损失达数万法郎。 该男子后来被南非警方逮捕。
Mar 20, 2001 前因后果是这样的 ……
从前台分机到主机经过数重密码认证
该软件可记录包括电子邮件、网上聊天、即使消息、Web访问、键盘操作等活动,并将记录信息悄悄发到指定邮箱
那么,究竟是怎么回事呢?
❖ 寻求帮助
5
第1部分
惨痛的教训!
严峻的现实!
6
一起国外的金融计算机犯罪案例
在线银行——一颗定时炸弹。 最近,南非的Absa银行遇到了 麻烦,它的互联网银行服务发生一 系列安全事件,导致其客户成百万 美元的损失。Absa银行声称自己 的系统是绝对安全的,而把责任归 结为客户所犯的安全错误上。 Absa银行的这种处理方式遭致广 泛批评。那么,究竟是怎么回事呢?
9
我们来总结一下教训
Absa声称不是自己的责任,而是客户的问题 安全专家和权威评论员则认为:Absa应负必要责任, 其电子银行的安全性值得怀疑 Deloitte安全专家Rogan Dawes认为:Absa应向其客 户灌输更多安全意识,并在易用性和安全性方面达成平 衡 IT技术专家则认为:电子银行应采用更强健的双因素认 证机制(口令或PIN+智能卡),而不是简单的口令 我们认为:Absa银行和客户都有责任
3
制作说明
本培训材料由IDC信息安全管理体系实施组织安 全执行委员会编写,并经安全管理委员会批准, 供IDC内部学习使用,旨在贯彻IDC信息安全策略 和各项管理制度,全面提升员工信息安全意识。
信息安全治理与风险管理
• Encryption • Change control
power lines
for data in
(process integrity) • Software and data
transit(IPSe • Access
backups
c,SSL,PPTP,S
control(physical and• Disk shadowing
SH)
technical)
• Co-location and off-
• Access
• Software digital
site facilities
control(Phys
signing
• Roll-back functions
ical and
• Transmission CRC • Fail-over
➢ 计算机和网络中的数据 ➢ 硬件、软件、文档资料 ➢ 关键人员 ➢ 组织内部的服务
❖ 具有价值的信息资产面临诸多威胁,需要妥善保护
整理课件
信息在其生命周期内的处理方式
❖ 创建(Create) ❖ 使用(Use) ❖ 存储(storage) ❖ 传递(delivery) ❖ 更改(change) ❖ 销毁(destroy)
❖ 组织通过实施管理性、技术性或操作性控制,保护其信息资产,以减 少信息安全风险可能造成的损失。
❖ 在此过程中,安全专家、高级管理层、安全审计人员、普通员工,都 应该明白各自的角色并承担各自的责任。
什么是管理?管理的目标?管理的手段? 信息安全管理是管理领域与信息安全领域的交叉
整理课件
什么是信息?
整理课件
信息安全的基本目标
❖Confidentiality ❖Interity ❖Availability
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
企业需要通过一系列的治理机制——结构、流程和沟通实 现治理计划(如中国网通集团企业信息化管理控制体系)
6
IT治理与IT管理
执行主体
IT治理
股东及董事会(投资人)
IT管理
企业管理层
目标
实现利益相关者利益的平衡
实现效率最大化
主要任务
在企业发挥 中的地位
IT资源投入、使用过程中的权责 配置
确定企业IT应用的基本框架,以 确保IT管理处于正确的轨道
透明度(治理的流程越透明,治理的信心也就越足)
5
有效的IT治理需要解决三方面的问题
一是解决目的性问题,即IT治理需要做出哪些决策? 企业IT决策主要包括五项:IT原则、IT架构、IT基础设施 、IT商业应用、IT投资
二是解决组织性问题。 三是解决系统性问题,即IT治理中如何制定和监控这些决策?
Governance = Accountability 治理和管理的区别就在于:治理是决定由谁来进行决策,管理则 是制定和执行这些决策。
2
IT治理的使命
保持IT与业务目标一致,推动业务发 展,促使收益最大化,合理利用IT资 源,适当管理与IT相关的风险。
3
IT治理的目标
帮助管理层建立以组织战略为导向,以外 界环境为依据,以业务与IT整合为重心的观念 ,正确定位IT部门在整个组织的作用。最终能 够针对不同业务发展要求,整合信息资源,制 定并执行IT战略,推动组织发展。
•ISO20000体系实施(3天)
ISO27001体系实施(3天) 计算机信息系统(高级)项目经理 (5天)
信息化投资回报高级研讨班Байду номын сангаас2天)
IT风险管理实施方法与案例研讨(2 天)
实施方法
COBIT – 信息及相关技术控制目标 IT治理协会 () 信息系统审计与控制协会 ()
ITIL
COSO –Treadway委员会发起成立的委员会
IT风险与 价10值系列
课程名称
CobiT IT内部控 制 信息系统 审计 ITIL
ISO20000
信息安全 管理 IT项目管 理
信息化绩 效评价
IT风险与 价值
基础知识
•CobiT 理念教育(1天) •IT领导力提升(2天)
•CISA考前特训(5天) •ITIL 理念教育(1天) •ITIL Foundation(3天)
•ISO20000理念教育(1天)
信息安全理念教育(1天)
IT需求管理(2天) •电子政务绩效评价理念教 育(1天) •企业信息化绩效评价理念 教育(1天) IT风险管理理念教育(1天)
中级提升
•CobiT Foundation(3天) •集团企业信息化管控体系建 设(2天) •数据中心审计(2天) •ITIL Practitioner (3天)
沟之间架起的一座桥梁。 Cobit聚焦在“what needs to be achieved”,而不是
“how to achieve”。 Cobit面向管理层、用户、信息系统审计师、业务经理
IT治理的含义
IT治理的定义 IT治理的使命 IT治理的内容 IT治理的全景试图 实施IT治理所带来的好处
1
什么是IT治理 ?
IT治理用于描述企业或政府是否采用有效的机 制(就是为鼓励IT应用的期望行为而明确决策权归 属和责任承担的框架),使得IT的应用能够完成组 织赋予它的使命,同时平衡信息技术与过程的风险、 确保实现组织的战略目标。
•ISO20000 Foundation (3天) •ISO 20000内审员(2天) ISO27001主任审核员(5天) 计算机信息系统(中级)项目 经理 (7天)
•电子政务绩效评价(2天) •企业信息化绩效评价(2天)
IT风险管理与价值实现(2天)
卓越管理
•CobiT Workshop实施演练(3天) •IT治理与企业核心竞争力提升(1天 ) •ERP审计(2天) •ITIL Manager(12天) •ITIL与ISO20000实施方法与案例 研讨(2天)
9
培训/ 认证
培训企业:北京信诚致远、上海品易、上海信 息化中心等。
培训证书:1、CobiT Foundation(180张左右 )
2、CGEIT
培训与认证-中国IT治理人才培训体系
课程系列 公司治理 与IT治理 系列 信息系统 审计系列
IT服务管 理系列
信息安全 管理系列 IT项目管 理系列
信息化绩 效评价系 列
4
IT治理的主要特点
健全的组织架构(健全的组织架构是正确决策的保障) 清晰的职责边界(清晰的职责边界是确保各治理主体独立运作、有效制
衡的基础)
明确的决策规则和程序(如果说职责边界是明确由谁做出决策,决策规 则和程序就是明确怎么做出决策。 )
有效的激励和监督机制(当激励与约束机制不能和组织的目标相联系时 ,IT治理是非常低效的)
ISO2700
11
CobiT名字的由来
C Control OB OBjectives
I for Information
T and Related Technology
12
Cobit是什么?
Cobit是关于“IT控制”的治理和控制的框架。 Cobit是在控制的需要、技术问题和商业风险这三者鸿
中国IT治理领域生态图
1、CobiT
2、CobiT\ITIL\27001整合实 施
3、部分公司内部使用的方法
实施 方法
北京信诚致远
企业
研究平台: 中国IT治理研究中心
网络平台:
论坛平台:G2峰会 出版平台:中国IT治理智库
咨询
中国网通、中国移动、东风汽 车、中化集团、北京市高 级人民法院;据公开统计 报道,中国实施IT治理的 企业不超过20家
IT 基础架构管理(ITIM)
时间
服务提供者
IT的作用是提高效率
IT预算是由外部基准驱动的
IT与业务分离
IT是一项成本中心,应该加以控制
8
IT管理者是技术专家
战略合作伙伴
IT的作用是促进业务增长 IT预算是由业务战略驱动的 IT与业务密不可分 IT是一项投资,应该加强管理 IT管理者是提供解决业务问题方案的专家
IT资源的有效利用
在现有IT治理框架下确定企业具体 的发挥路径及手段
运行基础
良好的公司治理框架
良好的企业管理基础
实施方法
COBIT
ITIL\ISO17799\CMMI\PMBok 等
7
IT部门在组织中的演变
IT部门的成熟度
战略合作伙伴
IT治理(ITG)
服务提供者
IT 服务管理(ITSM)
技术提供者
6
IT治理与IT管理
执行主体
IT治理
股东及董事会(投资人)
IT管理
企业管理层
目标
实现利益相关者利益的平衡
实现效率最大化
主要任务
在企业发挥 中的地位
IT资源投入、使用过程中的权责 配置
确定企业IT应用的基本框架,以 确保IT管理处于正确的轨道
透明度(治理的流程越透明,治理的信心也就越足)
5
有效的IT治理需要解决三方面的问题
一是解决目的性问题,即IT治理需要做出哪些决策? 企业IT决策主要包括五项:IT原则、IT架构、IT基础设施 、IT商业应用、IT投资
二是解决组织性问题。 三是解决系统性问题,即IT治理中如何制定和监控这些决策?
Governance = Accountability 治理和管理的区别就在于:治理是决定由谁来进行决策,管理则 是制定和执行这些决策。
2
IT治理的使命
保持IT与业务目标一致,推动业务发 展,促使收益最大化,合理利用IT资 源,适当管理与IT相关的风险。
3
IT治理的目标
帮助管理层建立以组织战略为导向,以外 界环境为依据,以业务与IT整合为重心的观念 ,正确定位IT部门在整个组织的作用。最终能 够针对不同业务发展要求,整合信息资源,制 定并执行IT战略,推动组织发展。
•ISO20000体系实施(3天)
ISO27001体系实施(3天) 计算机信息系统(高级)项目经理 (5天)
信息化投资回报高级研讨班Байду номын сангаас2天)
IT风险管理实施方法与案例研讨(2 天)
实施方法
COBIT – 信息及相关技术控制目标 IT治理协会 () 信息系统审计与控制协会 ()
ITIL
COSO –Treadway委员会发起成立的委员会
IT风险与 价10值系列
课程名称
CobiT IT内部控 制 信息系统 审计 ITIL
ISO20000
信息安全 管理 IT项目管 理
信息化绩 效评价
IT风险与 价值
基础知识
•CobiT 理念教育(1天) •IT领导力提升(2天)
•CISA考前特训(5天) •ITIL 理念教育(1天) •ITIL Foundation(3天)
•ISO20000理念教育(1天)
信息安全理念教育(1天)
IT需求管理(2天) •电子政务绩效评价理念教 育(1天) •企业信息化绩效评价理念 教育(1天) IT风险管理理念教育(1天)
中级提升
•CobiT Foundation(3天) •集团企业信息化管控体系建 设(2天) •数据中心审计(2天) •ITIL Practitioner (3天)
沟之间架起的一座桥梁。 Cobit聚焦在“what needs to be achieved”,而不是
“how to achieve”。 Cobit面向管理层、用户、信息系统审计师、业务经理
IT治理的含义
IT治理的定义 IT治理的使命 IT治理的内容 IT治理的全景试图 实施IT治理所带来的好处
1
什么是IT治理 ?
IT治理用于描述企业或政府是否采用有效的机 制(就是为鼓励IT应用的期望行为而明确决策权归 属和责任承担的框架),使得IT的应用能够完成组 织赋予它的使命,同时平衡信息技术与过程的风险、 确保实现组织的战略目标。
•ISO20000 Foundation (3天) •ISO 20000内审员(2天) ISO27001主任审核员(5天) 计算机信息系统(中级)项目 经理 (7天)
•电子政务绩效评价(2天) •企业信息化绩效评价(2天)
IT风险管理与价值实现(2天)
卓越管理
•CobiT Workshop实施演练(3天) •IT治理与企业核心竞争力提升(1天 ) •ERP审计(2天) •ITIL Manager(12天) •ITIL与ISO20000实施方法与案例 研讨(2天)
9
培训/ 认证
培训企业:北京信诚致远、上海品易、上海信 息化中心等。
培训证书:1、CobiT Foundation(180张左右 )
2、CGEIT
培训与认证-中国IT治理人才培训体系
课程系列 公司治理 与IT治理 系列 信息系统 审计系列
IT服务管 理系列
信息安全 管理系列 IT项目管 理系列
信息化绩 效评价系 列
4
IT治理的主要特点
健全的组织架构(健全的组织架构是正确决策的保障) 清晰的职责边界(清晰的职责边界是确保各治理主体独立运作、有效制
衡的基础)
明确的决策规则和程序(如果说职责边界是明确由谁做出决策,决策规 则和程序就是明确怎么做出决策。 )
有效的激励和监督机制(当激励与约束机制不能和组织的目标相联系时 ,IT治理是非常低效的)
ISO2700
11
CobiT名字的由来
C Control OB OBjectives
I for Information
T and Related Technology
12
Cobit是什么?
Cobit是关于“IT控制”的治理和控制的框架。 Cobit是在控制的需要、技术问题和商业风险这三者鸿
中国IT治理领域生态图
1、CobiT
2、CobiT\ITIL\27001整合实 施
3、部分公司内部使用的方法
实施 方法
北京信诚致远
企业
研究平台: 中国IT治理研究中心
网络平台:
论坛平台:G2峰会 出版平台:中国IT治理智库
咨询
中国网通、中国移动、东风汽 车、中化集团、北京市高 级人民法院;据公开统计 报道,中国实施IT治理的 企业不超过20家
IT 基础架构管理(ITIM)
时间
服务提供者
IT的作用是提高效率
IT预算是由外部基准驱动的
IT与业务分离
IT是一项成本中心,应该加以控制
8
IT管理者是技术专家
战略合作伙伴
IT的作用是促进业务增长 IT预算是由业务战略驱动的 IT与业务密不可分 IT是一项投资,应该加强管理 IT管理者是提供解决业务问题方案的专家
IT资源的有效利用
在现有IT治理框架下确定企业具体 的发挥路径及手段
运行基础
良好的公司治理框架
良好的企业管理基础
实施方法
COBIT
ITIL\ISO17799\CMMI\PMBok 等
7
IT部门在组织中的演变
IT部门的成熟度
战略合作伙伴
IT治理(ITG)
服务提供者
IT 服务管理(ITSM)
技术提供者